Login in moderne Schließsysteme

Die Verwaltung mehrerer Zugangsdaten für verschiedene Systeme stellt ein hohes Sicherheitsrisiko dar und ist für Nutzende unpraktisch. Daher sollte die Anzahl der erforderlichen Passwörter für das Schließsystem minimiert werden, indem:

• Active Directory-Integration als einheitliche Benutzerverwaltung

• Login mit bestehendem Firmen-Account (Windows-Domäne, Azure AD, LDAP)

• Passwortfreie Authentifizierung durch Multi-Faktor-Authentifizierung (MFA)

• RFID, mobile App oder biometrische Authentifizierung als Alternative zu Passwörtern

Mitarbeitende nutzen dieselben Zugangsdaten wie für ihre E-Mail oder den Windows-Arbeitsplatz, um sich im Schließsystem zu authentifizieren.

Für hochgesicherte Bereiche (z. B. Rechenzentren, Forschungsabteilungen, Hochsicherheitslabore) reicht eine einfache Anmeldung mit Benutzername und Passwort nicht aus.

• RFID + PIN-Code (Zwei-Faktor-Authentifizierung)

• RFID + mobile Push-Bestätigung über eine Unternehmens-App

• RFID + biometrische Erkennung (Fingerabdruck, Gesichtsscan, Iris-Scan)

• Standortbasierte Authentifizierung (Login nur von bestimmten Standorten möglich)

Ein IT-Administrator benötigt seine RFID-Karte UND einen Fingerabdruckscan, um einen Serverraum zu betreten.

Mitarbeitende mit erweiterten Rechten (z. B. Facility Manager, IT-Admins) sollten strengeren Sicherheitsrichtlinien unterliegen.

• Komplexe Passwortrichtlinien mit automatischer Rotation alle 90 Tage

• Automatische Sperrung des Kontos nach mehreren fehlgeschlagenen Login-Versuchen

• Überwachung und Protokollierung aller Logins durch das Security Operations Center (SOC)

• Regelmäßige Berechtigungsprüfungen durch Audits

Ein Facility-Manager wird benachrichtigt, wenn sich ein Administrator-Konto von einem ungewöhnlichen Standort aus anmeldet.

Durch die Anbindung des Schließsystems an Active Directory (AD) können Zutrittsrechte zentral verwaltet, automatisiert synchronisiert und direkt mit den bestehenden IT-Richtlinien verknüpft werden.

• Zentrale Benutzerverwaltung und rollenbasierte Berechtigungen

• Automatische Synchronisation von Personaldaten und Zutrittsrechten

• Automatische Entziehung der Zutrittsrechte bei Ausscheiden aus dem Unternehmen

Verlässt ein Mitarbeitender das Unternehmen, wird sein AD-Konto deaktiviert, und sein Zugang zum Schließsystem wird automatisch gesperrt.

Schließsysteme sollten dynamisch Zutrittsrechte anpassen, wenn sich Abteilungszugehörigkeiten oder Jobrollen ändern.

• HR-System meldet den Abteilungswechsel in Active Directory

• AD synchronisiert die neue Abteilungszugehörigkeit mit dem Schließsystem

• Alte Zutrittsrechte werden entzogen, neue automatisch vergeben

Ein Mitarbeitender wechselt vom Vertrieb in die IT-Abteilung – sein Zugang zu Vertriebsbüros wird deaktiviert, während er Zugang zu IT-Bereichen erhält.

Falls das Hauptsystem (Active Directory, FM-Software) ausfällt, müssen alternative Login-Mechanismen bestehen.

• Offline-Zugangs-Codes für autorisierte Personen (einmalige PINs)

• Notfall-Administratoren mit separatem Login für Schließsysteme

• Fallback auf biometrische Authentifizierung oder physische Schlüssel

Falls das Netzwerk ausfällt, können berechtigte Personen einen Notfall-Code nutzen, der sich nach Verwendung deaktiviert.

Ein sicheres Zutrittskontrollsystem muss klare Sanktionen für unsichere Login-Versuche oder Missbrauch definieren.

• Stufe 1: Verwarnung und Sicherheitsunterweisung für unsichere Login-Versuche

• Stufe 2: Temporäre Sperrung des Kontos nach wiederholten Verstößen

• Stufe 3: Eskalation an IT-Security und Facility-Management für arbeitsrechtliche Maßnahmen

Ein Mitarbeitender speichert sein Passwort unverschlüsselt → Das System generiert eine automatische Sicherheitswarnung.